Un reciente bug descubierto en el gestor de contraseñas de Firefox 2 puede hacer que un atacante consiga nuestro usuario y contraseña. Creando una página mal intencionada o mediante código introducido en blogs o foros públicos (sin consentimiento del autor) al guardar la contraseña con el gestor hace que este la envíe a un sitio externo. El fallo tambien afecta a Internet Explorer. Desde Mozilla han dicho que estará resuelto en la versión 2.0.0.1 o 2.0.0.2. Probar la vulnerabilidad:http://www.info-svc.com/news/11-21-2006/rcsr1/
Para probarlo en http://www.info-svc.com/news/11-21-2006/rcsr1/ en el formulario os inventais el usuario y contraseña y lo guardais con el gestor de contraseñas, cuando os pregunte le decís que queréis guardar el pass. Cuando os salga el vídeo haced clic en el y os redirigirá a Google pero enviando vuestro login y pass en la url:
#15 Pues esto es algo que ya se sabe, cuando algo es muy usado, es cuando se empiezan a sacar vulnerabilidades y a explotarlas...era cuestión de tiempo...creo que mozilla no tenía previsto todo esto cuando empezo con firefox ¿o sí?
#10#11 A mí me pasaba lo mismo: para que funcione no hay que pinchar en el vídeo sino al lado del vídeo (vamos que en el flash mismamente no, cerca: está incrustado sobre un enlace). El 1.5.0.8 también está afectado.
Lo he probado en dos PCs ambos en Windows eso si, y en los dos me enviaba el login y pass a Google. Aunque no he leído por ninguna parte que el bug afectase solo a Windows
Internet Explorer 7 ni siquiera muestra la página:
This error (HTTP 406 Not Acceptable) means that Internet Explorer was able to receive information from the website you visited, but the information was not in a format that Internet Explorer can display.
Konqueror no parece afectado tampoco, un click allí te lleva a youtube; aparece un botón de "enviar" medio oculto por el video en la parte de arriba. Si lo pulsas, te lleva a google pero sin mostrar la contraseña.
Pues a mi con firefox 2.0 en ubuntu edgy no me afecta el bug. Cuando se abre la página de google, en la direccion no pone nada de mi user ni password.
Además sólo enviaría la información de usuario y contraseña de la página "maléfica" no todas las que tengamos guardadas en el gestor de contraseñas ¿no?
#17 No es el problema que aparezcan, que es normal y comprensible. El problema que veo es que yo tenía como verdad que se solucionaban enseguida, la mayoría de las veces incluso antes de que se hiciesen públicas. Y no ha sido así de lejos.
¿Alguien se ha leido la noticia entera y a abierto el enlace a bugzilla?, o como de costumbre nos quedamos con el título, porque leyendo algunos comentarios me parece que no. Esto me recuerda a eso de que el tabaco puede matar... pues depende de cómo y de qué forma.
#19 Microsoft por lo menos estaba al tanto y se calla lo que va a hacer, no es necesariamente malo que diga que se reserva la opinion. ademas no le afecta tan directamente.
estoy con #15... [modo ironico]HOYGAN ES FIREFOS, EN DOS DIAS ESTA RESUERTO. VIVA EL SOGUER ABIERTO PORQUE LO MIRA TU VEZINO Y LO CORRIGE Y TU TAMBIEN PUEDES MIRARLO, DOS DIAS Y RESUERTO YA VERAN[/modo ironico]
yo tengo un problema, no sé que me pasa, pero instalé firefox 2.0 y se me instala sólo otra vez el 1.5 algunas veces, luego se me vuelve a instala el 2.0 sólo luego el 1.5...
ahora tengo el 1.5 porque no se ha vuelto a cambiar al 2.0, alguien sabe como solucionarlo?
¿Firefox? ¿Ese navegador que corrige sus bugs inmediatamente por ser SL? ¿El mismo que tiene un bug en su versión 2.0 descuvierto al día siguiente de salir y aún sin corregir? Mitos que caen...
Comentarios
Si era eso #2
Para probarlo en http://www.info-svc.com/news/11-21-2006/rcsr1/ en el formulario os inventais el usuario y contraseña y lo guardais con el gestor de contraseñas, cuando os pregunte le decís que queréis guardar el pass. Cuando os salga el vídeo haced clic en el y os redirigirá a Google pero enviando vuestro login y pass en la url:
ej http://www.google.com/search?q=Chapin+Information+Services&loginuser=aaa*&*loginpass=bbb&x=&y=
Este fallo afecta aunque en menor medida a Internet Explorer, sin embargo:
Mozilla confirmed this as bug number 360493, and said they are already working on a fix for version 2.0.0.1 or 2.0.0.2.
VS
Microsoft responded by saying, "We are aware of the issue you reported." And, "As a matter of policy, we cannot comment on ongoing investigations."
Ahí tienes la diferencia
OMFG (hundido en FFox 1.5.0.8)
Más info en bugzilla: http://acortame.com/bugff2
De momento se recomienda desactivar el gestor de contraseñas y la extensión Master Password Timeout
#22 A mi tampoco me ha tocado nunca la loteria, debe ser porque se lo han inventado
Esto es lo que me sale a mi http://www.google.com/search?q=Chapin+Information+Services&loginuser=usuario&loginpass=contrasena&x=&y=
Nunca uso el gestor de contraseñas de firefox, será que soy demasiado paranoico
#15 Pues esto es algo que ya se sabe, cuando algo es muy usado, es cuando se empiezan a sacar vulnerabilidades y a explotarlas...era cuestión de tiempo...creo que mozilla no tenía previsto todo esto cuando empezo con firefox ¿o sí?
#10 #11 A mí me pasaba lo mismo: para que funcione no hay que pinchar en el vídeo sino al lado del vídeo (vamos que en el flash mismamente no, cerca: está incrustado sobre un enlace). El 1.5.0.8 también está afectado.
¿No será revelar?
#8 ¿Has guardado antes la contraseña con el gestor de contraseñas de Firefox ?
Lo he probado en dos PCs ambos en Windows eso si, y en los dos me enviaba el login y pass a Google. Aunque no he leído por ninguna parte que el bug afectase solo a Windows
Internet Explorer 7 ni siquiera muestra la página:
This error (HTTP 406 Not Acceptable) means that Internet Explorer was able to receive information from the website you visited, but the information was not in a format that Internet Explorer can display.
#15 y #16, no son mitos, es realidad. Y no se trata de una guerra entre microsoft y el software libre. Menos criticar y más manos a la obra.
Lo mismo para mí.
Konqueror no parece afectado tampoco, un click allí te lleva a youtube; aparece un botón de "enviar" medio oculto por el video en la parte de arriba. Si lo pulsas, te lleva a google pero sin mostrar la contraseña.
#4 En 1.5.0.8 no puedo reproducir el bug ¿?
#28 Tienes razón. Ahora si que me afecta el bug.
Si, la he guardado y la página nueva que se me abre al hacer clic sobre el vídeo es
Por cierto, firefox me la bloqueaba. He tenido que decirle que permita las ventanas emergentes de ese sitio.
Pues a mi con firefox 2.0 en ubuntu edgy no me afecta el bug. Cuando se abre la página de google, en la direccion no pone nada de mi user ni password.
Además sólo enviaría la información de usuario y contraseña de la página "maléfica" no todas las que tengamos guardadas en el gestor de contraseñas ¿no?
Yo no guardo las contraseñas... así es más seguro
#17 No es el problema que aparezcan, que es normal y comprensible. El problema que veo es que yo tenía como verdad que se solucionaban enseguida, la mayoría de las veces incluso antes de que se hiciesen públicas. Y no ha sido así de lejos.
#5 Desinstalar el 1.5.0.8 y asegúrate de descargarte la 2.0
#10 exactamente lo mismo me pasa a mi en Edgy. No parece funcionar...
a mi me parece que se lo han inventado. Por lo menos a mi no me pasa
El k-ninja (basado en Mozilla 1.8) es vulnerable, acabo de mirarlo.
Que mal rollo dan estos agujeros de seguridad...
¿Alguien se ha leido la noticia entera y a abierto el enlace a bugzilla?, o como de costumbre nos quedamos con el título, porque leyendo algunos comentarios me parece que no. Esto me recuerda a eso de que el tabaco puede matar... pues depende de cómo y de qué forma.
#19 Microsoft por lo menos estaba al tanto y se calla lo que va a hacer, no es necesariamente malo que diga que se reserva la opinion. ademas no le afecta tan directamente.
estoy con #15... [modo ironico]HOYGAN ES FIREFOS, EN DOS DIAS ESTA RESUERTO. VIVA EL SOGUER ABIERTO PORQUE LO MIRA TU VEZINO Y LO CORRIGE Y TU TAMBIEN PUEDES MIRARLO, DOS DIAS Y RESUERTO YA VERAN[/modo ironico]
Me imagino los comentarios si en vez de Firefox esto hubiera pasado en Internet Explorer...
yo tengo un problema, no sé que me pasa, pero instalé firefox 2.0 y se me instala sólo otra vez el 1.5 algunas veces, luego se me vuelve a instala el 2.0 sólo luego el 1.5...
ahora tengo el 1.5 porque no se ha vuelto a cambiar al 2.0, alguien sabe como solucionarlo?
¿Firefox? ¿Ese navegador que corrige sus bugs inmediatamente por ser SL? ¿El mismo que tiene un bug en su versión 2.0 descuvierto al día siguiente de salir y aún sin corregir? Mitos que caen...